Interfaz de inicio de Skype en un terminal móvil | UNSPLASH

TW
0

Un grupo de investigadores ha descubierto que agentes maliciosos distribuyen el 'malware' conocido como DarkGate Loader a través de cuentas comprometidas de plataformas de comunicación como Microsoft Teams y Skype.

DarkGate Loader es un 'software' malicioso investigado por distintas compañías de ciberseguridad desde hace unos meses, entre ellas Truesec, que se distribuye mediante 'phishing', con mensajes que integran enlaces fraudulentos.

Fue el pasado mes de agosto cuando se detectó que DarkGate Loader se entregaba mediante campañas de 'spam' a través de Microsoft Teams enviadas a cuentas de Microsoft Office 365 comprometidas, según explicó esta firma entonces.

TrendMicro, que también investigó el recorrido de este 'malware' desde julio hasta septiembre, ha comentado ahora que este troyano pudo comprometer cuentas de usuarios de esta plataforma de comunicación, así como de otras como Skype, filtradas y disponibles a través de foros clandestinos.

En concreto, los ciberdelincuentes distribuyeron un 'script' AutoIT de carga VBA que, al descargarlo, se ejecutaba carga útil maliciosa de DarkGate Loader de forma automática y con el desconocimiento de las víctimas.

Los investigadores de esta compañía han señalado que cabe la posibilidad de que los atacantes comprometieran estas cuentas al hacerse con las credenciales de acceso a Teams y otras plataformas como Skype filtradas y disponibles a través de foros clandestinos.

Con ello, han explicado que no se trata de un 'malware' nuevo, sino que los primeros indicios de DarkGate datan de finales de 2017 y que, en base a su actividad más reciente, se han detectado ataques a nivel global, tanto en América (41%), Asia, Oriente Medio y África (31%) y en Europa (28%).

A lo largo de estos años, sin embargo, ha ido cambiando su método de ofuscación, aunque se ha mantenido la cadena de infección, «que sigue siendo en gran medida la misma», según los investigadores.

En este caso, las víctimas recibieron un mensaje de una cuenta de Skype comprometida, contenedora del 'script' engañoso y que lo hace pasar por un documento en formato PDF en el caso de las cuentas de Skype.

En Microsoft Teams, sin embargo, los atacantes ocultaron el archivo malicioso .LNK. En ambas plataformas, por cierto, la muestra de 'malware' provenía de remitentes externos desconocidos.